毫無疑問，云計(jì)算的廣泛采用促進(jìn)了更大規(guī)模的協(xié)作，推動(dòng)了創(chuàng)新和創(chuàng)造。企業(yè)分布在各地的員工可以更加和諧地工作，IT部門可以減少昂貴的硬件和維護(hù)成本，組織可以從軟件工具的最新發(fā)展中受益。但不可避免地會(huì)面臨安全性這個(gè)問題。企業(yè)需要擔(dān)心許多不同的云計(jì)算安全威脅，因此制定一個(gè)強(qiáng)大的、全面的云安全策略至關(guān)重要。

為此，企業(yè)可以采取以下五個(gè)技巧來改善云計(jì)算的安全性。

1.建立完全可見性

組織有機(jī)地開發(fā)、獲取和采用必須與遺留系統(tǒng)集成的新工具，并與不同的供應(yīng)商和合作伙伴建立新的關(guān)系。在本地服務(wù)器和多個(gè)外部云計(jì)算服務(wù)之間傳播數(shù)據(jù)，這并不罕見。日益增加的復(fù)雜性使得難以保持全局視圖。

在調(diào)查中，當(dāng)570名網(wǎng)絡(luò)安全人員和IT專業(yè)人員被問及嘗試保護(hù)云計(jì)算工作負(fù)載時(shí)最頭痛的問題時(shí)，43%的受訪者表示是基礎(chǔ)設(shè)施安全性的可見性，38%的受訪者表示是合規(guī)性，35%的受訪者表示設(shè)置一致的安全策略。如果沒有完全映射并建立實(shí)時(shí)可見性，企業(yè)無法保護(hù)其云計(jì)算環(huán)境，無論它看起來如何。

2.培訓(xùn)員工

絕大多數(shù)數(shù)據(jù)泄露事件都能追溯到人為錯(cuò)誤，無論是錯(cuò)誤配置、訪問控制不良、網(wǎng)絡(luò)釣魚攻擊還是簡(jiǎn)單錯(cuò)誤。這就是適當(dāng)?shù)陌踩庾R(shí)培訓(xùn)如此重要的原因。為企業(yè)員工提供所需的信息和技能，以降低惡意軟件或未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn)，并確保及時(shí)報(bào)告潛在事件。

確保企業(yè)的員工具備正確配置他們正在使用的工具所需的技能，這只是其中的一部分。還需要灌輸良好的安全意識(shí)，并制定非常明確的政策，規(guī)定誰負(fù)責(zé)以及發(fā)生潛在事件時(shí)的程序。完全防止錯(cuò)誤是不可能的，但正確的反應(yīng)可以創(chuàng)造一個(gè)與眾不同的世界。

3.盡早包含安全性

對(duì)于任何試圖保護(hù)云計(jì)算平臺(tái)的人來說，部分問題在于他們通常會(huì)將安全性改造為在設(shè)計(jì)時(shí)很少考慮的系統(tǒng)。負(fù)責(zé)安全的人往往努力說服壓力不足的團(tuán)隊(duì)改變他們的流程。部門之間的障礙可能導(dǎo)致怨恨和抵制。

企業(yè)引入安全性并消除障礙是向DevSecOps轉(zhuǎn)變的一部分，DevSecOps允許從任何項(xiàng)目的開始設(shè)計(jì)安全性。這可能是一個(gè)雄心勃勃的目標(biāo)，但在任何討論中盡早包含安全性的基本原則是有效的，無論是采用新工具，開發(fā)軟件，還是云計(jì)算架構(gòu)的變更。

4.持續(xù)監(jiān)控

創(chuàng)建云計(jì)算的快照，并精確映射數(shù)據(jù)在任何給定時(shí)刻的位置只是基礎(chǔ)，企業(yè)還需要不斷警惕以應(yīng)對(duì)產(chǎn)生的問題。數(shù)據(jù)應(yīng)始終加密，應(yīng)嚴(yán)格控制訪問，監(jiān)控流量，并盡快識(shí)別和修復(fù)漏洞。

企業(yè)需要持續(xù)監(jiān)控網(wǎng)絡(luò)，并持續(xù)提供有關(guān)潛在威脅的新信息。確保標(biāo)記可疑行為，以便可以發(fā)現(xiàn)惡意內(nèi)部人員以及未經(jīng)授權(quán)的訪問。為任何數(shù)據(jù)修改或刪除構(gòu)建清晰的審計(jì)路徑。企業(yè)發(fā)現(xiàn)問題的速度越快，解決問題的機(jī)會(huì)就越大。

5.定期測(cè)試

與流行的看法相反，將數(shù)據(jù)轉(zhuǎn)移到云中并不會(huì)將責(zé)任轉(zhuǎn)移到云計(jì)算提供商。如果發(fā)生數(shù)據(jù)丟失，企業(yè)仍將承擔(dān)監(jiān)管處罰、喪失用戶信任，以及所有其他相關(guān)后果的責(zé)任。這就是為什么企業(yè)必須對(duì)合作伙伴進(jìn)行盡職調(diào)查并確保他們完全理解合規(guī)的意義的原因。

唯一可以確保企業(yè)內(nèi)部和外部防御工作正常的方法就是測(cè)試。應(yīng)該規(guī)劃和實(shí)施定期測(cè)試程序，其中包括從滲透測(cè)試到模擬網(wǎng)絡(luò)釣魚攻擊的所有內(nèi)容。創(chuàng)建反饋循環(huán)并激發(fā)新興威脅是確保企業(yè)的安全系統(tǒng)快速發(fā)展的最佳方法，但不要忘記將測(cè)試與可操作的補(bǔ)救建議聯(lián)系起來，使企業(yè)的團(tuán)隊(duì)能夠進(jìn)行必要的更改。此外，不要忘記文檔的安全。

云計(jì)算安全需要深入挖掘，每個(gè)組織的網(wǎng)絡(luò)和業(yè)務(wù)都各不相同，但這些指導(dǎo)原則應(yīng)該對(duì)其有益。